VxRail의 VCF: VCF eEnvironment에서 NSX-T 로컬 관리자 인증서 교체
요약: 이 문서는 VCF(VMware Cloud Foundation) 관리 페더레이션 환경에서 NSX-T 로컬 관리자 자체 서명 인증서를 교체하는 방법에 대한 가이드입니다. 시스템이 안전하고 규정을 준수하는지 확인합니다.
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
VCF 관리 NSX-T 페더레이션 환경에 대해서만 이 문서를 따르십시오!
배경:
아래에 설명된 다양한 유형의 NSX-T 인증서가 있습니다.
| 인증서 이름 | 목적 | 교체 | 기본 유효 기간 |
| Tomcat | UI 또는 API를 통해 개별 NSX Manager 노드와의 외부 통신에 사용되는 API 인증서입니다. | 예 | 825일 |
| mp-클러스터 | UI 또는 API를 통해 클러스터 VIP를 사용하여 NSX Manager 클러스터와 외부 통신하는 데 사용되는 API 인증서입니다. | 예 | 825일 |
| 로컬 매니저 | 페더레이션을 위한 플랫폼 주체 ID 인증서입니다. 페더레이션을 사용하지 않는 경우 이 인증서는 사용되지 않습니다. | 예 | 825일 |
VCF 솔루션의 경우:
Tomcat 및 mp-cluster는 vCenter에서 VMCA(VMware Certificate Authority)가 서명한 CA 인증서로 대체됩니다. mp-cluster 및 Tomcat 인증서가 여전히 있을 수 있지만 사용되지 않습니다.
VCF를 사용하는 NSX-T Manager:
- Tomcat - Node1 > 이 사용되지 않음
- mp-cluster - VIP > 가 사용되지 않음
설치 중에 다음으로 교체되었습니다.
- CA - 노드 1
- CA - VIP
Postman 플랫폼에서 다음 API를 실행하여 인증서가 사용 중인지 확인합니다.
GET https://<nsx-mgr>/api/v1/trust-management/certificates/<certificate-id>
로컬 관리자 인증서는 페더레이션의 다른 사이트와 통신하는 데 사용되는 주체 ID 인증서입니다.
NSX-T 페더레이션 환경에는 활성 및 대기 Global Manager 클러스터와 하나 이상의 Local Manager 클러스터가 포함되어 있습니다.
그림 1: 위치 1과 2에 활성 및 대기 글로벌 관리자 클러스터 가 있는 세 위치와 세 위치 모두에 로컬 관리자 클러스터가 있는 것을 보여줍니다.
Local Manager 클러스터 수를 확인하는 방법:
아래 단계와 그림 2 에 따라 환경을 확인하고 로컬 관리자 클러스터 수를 확인합니다.
시스템>구성>위치 관리자에서:
- Local Manager 상단에는 로그인한 클러스터가 표시됩니다. 이 예에서는 로컬 관리자 클러스터에 로그인되어 있습니다.
- 페이지 중간에 글로벌 관리자 클러스터가 표시되며 어떤 클러스터가 활성 클러스터이고 어떤 클러스터가 대기 상태인지 알 수 있습니다.
- 다른 로컬 관리자 클러스터는원격 사이트 아래 하단에 표시됩니다.
그림 2: 로컬 관리자 클러스터 환경
로컬 관리자 자체 서명 인증서를 교체하는 절차:
- Local Manager 클러스터에서 NSX Manager에 로그인합니다.
- 계속하기 전에 NSX-T 백업을 수집합니다. 이 단계가 중요합니다!
시스템>수명주기 관리>백업 및 복원>백업
시작그림 3 : NSX-T 백업을 수집합니다. - 인증서 및 만료 날짜를 확인하십시오.
System>SettingsCertificates
> 를 클릭합니다. 아래 예는 로컬 관리자 인증서의 만료 날짜를 빨간색으로 보여줍니다.
그림 4: 로컬 관리자 인증서의 만료 날짜
클러스터 내에 있는 NSX Manager의 수에 관계없이 Local Manager 클러스터당 하나의 인증서가 있습니다.
- Local Manager 클러스터 1의 NSX Manager에 로그인합니다.
- 새 CSR을 생성합니다.
- System>SettingsCertificatesCSRsGenerate>>>CSR을 클릭합니다.
그림 5: 새 CSR을 생성합니다. - 일반 이름을로컬 관리자로 입력합니다.
- 이름을LocalManager로 입력합니다.
- 나머지는 사용자 비즈니스 및 위치 세부 정보입니다(만료되는 이전 인증서에서 복사할 수 있음).
- Save를 클릭합니다.
그림 6: CSR 이름 및 지역 정보를 입력합니다.
- System>SettingsCertificatesCSRsGenerate>>>CSR을 클릭합니다.
- 생성된 CSR을 사용하여 자체 서명 인증서를 생성합니다.
- New CSR 확인란 >Generate CSR>Self-Sign Certificate for CSR을 클릭합니다.
그림 7: 자체 서명된 인증서를 만듭니다. - Service Certificate가 No로 설정되어 있는지 확인하고 Save를 클릭합니다.
- Certificates 탭으로 돌아가서 New Certificate 및 Copy Certificate ID를 찾습니다.
그림 8: 새 인증서 ID 복사
- New CSR 확인란 >Generate CSR>Self-Sign Certificate for CSR을 클릭합니다.
- 로컬 관리자의 주체 ID 인증서를 교체합니다.
- 사용자가 Postman 플랫폼을 설치합니다.
- Authorization 탭에서 TypeBasic>Auth를 선택합니다.
- NSX-T Manager 로그인 세부 정보를 입력합니다.
그림 9: NSX-T Manager 로그인 세부 정보를 입력합니다. - Headers(헤더) 탭에서
application/xml에서application/json파일로 교체합니다.
그림 10: 머리글 탭 - Postman에서
application/xml에서application/json - 본문 탭에서
POST API명령어와 동일한 방식으로 AUTHC를 사용합니다.- 원시를 선택한 다음, JSON을 선택합니다.
- POST 옆의 상자에 URL을 입력합니다.
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates?action=set_pi_certificate_for_federation - 위에서 URL은 특정 Local Manager 클러스터 내의 NSX Manager에 사용되는 IP입니다.
- 본문 섹션에서 스크린샷과 같이 두 줄로 다음을 입력합니다.
{ "cert_id": "<certificate id, copied from step 3>", "service_type": "LOCAL_MANAGER" }
- Send를 클릭하고 200 OK라는 결과가 표시되는지 확인합니다.
- 각 Local Manager 클러스터 2 및 3에서 1-4단계를 반복합니다.
이러한 단계가 완료되면 새 인증서 하나가 생성되고 각 로컬 관리자 클러스터에서 주체 ID 인증서가 교체됩니다.
이제 3개의 Local Manager 클러스터 각각에서 만료되는 이전 인증서를 삭제해야 합니다.
- 인증서가 더 이상 사용되지 않는지 확인합니다.
- 인증서 ID 복사
- Postman을 엽니다.
- POST 대신 GET API를 선택합니다.
- URL 입력
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/certificates/<certificate-id> - 찾으세요
used_by을 클릭하고 빈 대괄호가 있는지 확인합니다. "used_by" : [ ],"resource_type" : "certificate_self_signed", "아이디" : "9cd133ca-32fc-48a2-898b-7acd928512a5", "display_name": "로컬 관리자", "설명": "", "태그" : [ ], "_create_user" : "관리자", "_create_time" : 1677468138846, "_last_modified_user" : "관리자", "_last_modified_time": 1677468138846, "_system_owned" : 거짓, "_protection" : "NOT_PROTECTED", "_revision" : 0 }
- System >SettingsCertificates > 로 이동하여 필요한 인증서를 선택합니다.
그림 12: 필요한 인증서를 선택합니다. - DeleteDelete> 를 클릭합니다.
그림 14: 인증서를 삭제합니다. - 주체 ID가 작동하고 새 인증서를 사용하는지 확인합니다.
- Postman을 엽니다.
- GET를 선택합니다.
- URL 실행
https://<nsx-mgr-IP-local-manager-clusterX>/api/v1/trust-management/principal-identitie. "certificate_id"새로 만든 인증서 ID가 표시되어야 합니다.
그림 15: 인증서 ID는 새 인증서 ID를 표시합니다.
추가 정보
글로벌 관리자 인증서 교체:
글로벌 관리자 인증서를 교체하려면 동일한 프로세스를 따르되 "LOCAL_MANAGER" 에서 "GLOBAL_MANAGER" 글로벌 관리자 클러스터에서 절차를 수행합니다.
기타 관련 기사:
해당 제품
VMWare Cloud on Dell EMC VxRail E560F, VMWare Cloud on Dell EMC VxRail E560N, VxRail E560 VCF, VxRail E560F VCF, VxRail E560N VCF, VxRail G560 VCF, VxRail G560F VCF, VxRail P570 VCF, VxRail P570F VCF, VxRail P580N VCF, VxRail S570 VCF
, VxRail V570 VCF, VxRail V570F VCF
...
제품
VxRail G410, VxRail G Series Nodes, VxRail E560 VCF, VxRail E560F, VxRail E560F VCF, VxRail E560N, VxRail E560N VCF, VxRail E660, VxRail E660F, VxRail E660N, VxRail E665, VxRail E665F, VxRail E665N, VxRail G560, VxRail G560 VCF, VxRail G560F
, VxRail G560F VCF, VxRail Gen2 Hardware, VxRail P Series Nodes, VxRail P470, VxRail P570, VxRail P570 VCF, VxRail P570F, VxRail P570F VCF, VxRail P580N, VxRail P580N VCF, VxRail P670F, VxRail P670N, VxRail P675F, VxRail P675N, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail S570 VCF, VxRail S670, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570 VCF, VxRail V570F, VxRail V570F VCF, VXRAIL V670F, VxRail VD-4000R, VxRail VD-4000W, VxRail VD-4000Z, VxRail VD-4510C, VxRail VD-4520C, VxRail VD Series Nodes
...
문서 속성
문서 번호: 000210329
문서 유형: How To
마지막 수정 시간: 07 5월 2026
버전: 5
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.